Dans le paysage bancaire européen actuel, marqué par une volatilité accrue et des risques émergents complexes, le cadre d’appétence aux risques (Risk Appetite Framework – RAF) s’impose comme une pierre angulaire de la gouvernance des établissements financiers. La BCE exprime des attentes de supervision précises concernant la conception et la mise en œuvre d’un RAF efficace. Cet article vous propose un décryptage des exigences essentielles et des bonnes pratiques pour transformer votre RAF en un véritable outil stratégique.

Un RAF bien élaboré, fondé sur une déclaration d’appétence aux risques, est considéré comme la pierre angulaire d’un cadre de gouvernance solide, aux côtés d’une culture du risque forte et de responsabilités bien définies pour les fonctions de gestion et de contrôle des risques. 

Le RAF ne doit pas être perçu comme un exercice de conformité isolé mais comme un élément pleinement intégré au processus décisionnel de l’établissement.

Cette intégration implique que le RAF soit utilisé dans les décisions stratégiques et en connexion avec les processus stratégiques de l’établissement, notamment l’ILAAP (processus interne d’évaluation de l’adéquation de la liquidité), l’ICAAP (processus interne d’évaluation de l’adéquation du capital), le budget et la rémunération.

Même si le RAF d’un établissement est composé d’un ensemble de politiques de risque existantes, il est essentiel de formaliser une déclaration synthétique pour garantir la cohérence du cadre procédural de gestion des risques et permettre à l’organe de direction d’obtenir une vision holistique des risques de l’établissement.

1- Conception d’un RAF efficace, les fondamentaux

Implication de l’organe de direction

L’organe de direction doit être significativement impliqué et jouer un rôle clé dans la définition et l’approbation du RAF. Les membres de l’organe de direction supervisent sa révision régulière et sa mise en œuvre appropriée, et vérifient qu’elle se déroule conformément à la politique et à la stratégie de l’établissement.

La documentation du RAF doit décrire les responsabilités de toutes les parties prenantes impliquées conformément à l’organisation de l’établissement. Il est essentiel que le RAF soit aligné avec d’autres processus stratégiques tels que le budget, l’ICAAP, l’ILAAP, le plan de redressement et le cadre de rémunération, et que cette interaction soit formalisée.

Suivi et reporting régulier

L’organe de direction, responsable de la validation initiale du RAF, doit être régulièrement informé du profil de risque de l’établissement par rapport à son appétence aux risques afin d’être en mesure de prendre des décisions appropriées.

Il est recommandé que les établissements développent un suivi interne, tel qu’un tableau de bord d’appétence aux risques agrégé et consolidé, comparant l’exposition et les limites de risque d’un côté à l’appétit pour les risques financiers et non financiers de l’autre côté. Ce tableau de bord doit être présenté et discuté par l’organe de direction dans ses fonctions de surveillance et de gestion, ainsi que par les comités spécialisés (ex., le comité des risques et le comité d’audit) sur une base régulière. Une fréquence au moins trimestrielle constitue une bonne pratique pour les établissements de grande taille, afin de soutenir l’examen, la surveillance et le suivi du profil de risque.

2- Une couverture exhaustive des risques

Intégration de tous les risques significatifs

Le périmètre des risques inclus dans le RAF doit être complet, incluant à la fois les risques financiers et non financiers ainsi que les indicateurs correspondants. Pour garantir une gestion saine et efficace des risques, il est attendu que les risques inclus dans le RAF reflètent le résultat de l’exercice d’identification régulier des risques réalisé par l’établissement (généralement sur une base annuelle).

Les risques significatifs/matériels du business modèle de l’établissement doivent être reflétés, ce qui inclut dans la plupart des cas au minimum : le risque commercial et la rentabilité, le risque de capital, le risque de liquidité, le risque de taux d’intérêt dans le portefeuille bancaire, le risque de crédit, le risque de marché, le risque opérationnel, les risques non financiers, etc.

Attention particulière aux risques non financiers et émergents

Il est essentiel que les risques non financiers significatifs/matériels (en particulier le risque de conformité, le risque de réputation, le risque informatique, le risque juridique) ainsi que d’autres risques émergents, tels que les risques climatiques et environnementaux et les risques géopolitiques, soient explicitement inclus dans le RAF.

Les établissements doivent comprendre, surveiller et évaluer ces risques et leur impact financier potentiel, en utilisant des indicateurs qualitatifs et/ou quantitatifs avec une granularité suffisante et une vision prospective, en tenant également compte de l’impact des effets de second tour sur le modèle d’affaires, la rentabilité, la liquidité et la position en capital.

Il est également recommandé que le RAF aborde les risques plus difficiles à quantifier, tels que les risques de conduite, les risques associés aux infractions fiscales, les risques de non-conformité aux mesures restrictives et de contournement des sanctions, ainsi que le blanchiment d’argent, le financement du terrorisme et les pratiques non éthiques.

Définition de métriques appropriées

Une fois les différents risques identifiés, il est essentiel de définir des métriques correspondantes. Ces métriques présentées à l’organe de direction doivent refléter le business modèle, la taille et la complexité de l’établissement. Tout changement et développement dans le business modèle et/ou la stratégie de l’établissement doit être correctement reflété dans le RAF en couvrant tous les risques financiers et non financiers pertinents pour ces nouvelles activités (par exemple, transformation digitale, crypto-actifs, etc.).

Il est nécessaire de maintenir un équilibre approprié entre les métriques statiques et les métriques prospectives, y compris les résultats des stress tests. Le nombre de métriques présentées à l’organe de direction doit être approprié : suffisant pour couvrir toutes les dimensions de risque et transcrire correctement la complexité du business modèle, mais pas trop élevé pour garantir la clarté du tableau de bord et le pilotage des risques les plus significatifs en termes d’absorption de capital.

3- Calibrage des limites : un niveau approprié pour une gestion efficace

Principes de fixation des limites

Les limites d’appétence aux risques doivent être adaptées au profil de risque de l’établissement et fixées de manière à être atteintes avant qu’une exigence réglementaire ne soit violée. Il également est attendu que ces limites soient fixées à un niveau adéquat afin qu’il n’y ait aucune possibilité réelle de les franchir. Aussi, elles ne doivent pas être ajustées trop souvent afin d’éviter les dépassements.

Via les limites, le RAF établit le niveau et les types de risques que l’établissement est prêt à assumer en amont de ses activités commerciales, afin de les inclure dans le cadre de sa capacité de risque.

Processus de surveillance et d’escalade

Il est recommandé aux établissements de définir et de mettre en œuvre un processus de surveillance et de révision régulières de leurs limites d’appétence aux risques, incluant un processus d’escalade en cas de dépassement de limites, clarifiant les rôles des différentes parties prenantes.

Les limites peuvent être recalibrées en dehors du cycle de révision régulier à titre exceptionnel (ex. en cas de changement dans l’activité commerciale de l’établissement), mais il est recommandé de toujours discuter et approuver cela par l’organe de direction, tout en maintenant une gestion prudente des risques.

Gestion des dépassements

Il est essentiel que les établissements disposent de systèmes d’information efficaces pour pouvoir signaler tout dépassement de limite de manière adéquate et en temps opportun. Si des limites sont franchies, il est attendu que les fonctions de contrôle interne s’assurent que les dépassements soient correctement gérés et que des actions correctives soient prises.

En cas de dépassement, il doit exister un plan d’action avec des objectifs, un calendrier et des responsabilités clairs sur la manière de réagir au dépassement, incluant un processus pour surveiller l’exécution du plan d’action.

4- Alignement stratégique et culture du risque

Le RAF comme moteur de la stratégie

La BCE s’attend à ce que le RAF soit utilisé pour guider la sensibilisation aux risques et la prise de risque prudente, afin de contribuer à une culture du risque saine. Il est recommandé que le RAF reste stable dans le temps et soit utilisé comme moteur de la stratégie de l’établissement, plutôt que l’inverse.

Les déclarations d’appétence aux risques doivent décrire tous les niveaux et types de risques que l’établissement est prêt à assumer dans le cadre de sa capacité de risque pour atteindre ses objectifs stratégiques et son business plan. Par conséquent, les déclarations d’appétence aux risques gouvernent la fixation annuelle des limites, en tenant dûment compte des cycles économiques et de la volatilité financière, garantissant le maintien à tout moment d’une marge suffisante par rapport aux seuils d’appétence aux risques si une limite est franchie.

Flexibilité et cohérence

Bien que le RAF doive permettre une certaine flexibilité, pour prendre en charge les risques émergents comme les risques liés aux changements environnementaux, il est crucial que les déclarations d’appétence aux risques soient suffisamment définitives et cohérentes pour éviter une dérive stratégique. Le RAF ne doit pas fonctionner de manière autonome mais faire partie de la prise de décision stratégique de l’établissement, y compris sa planification à long terme.

Lien avec la rémunération et la culture du risque

Il est recommandé que le RAF soit utilisé pour contribuer à la sensibilisation aux risques. En particulier, il est essentiel que la rémunération variable soit liée et conditionnée à certains facteurs de risque, à la fois ex ante et ex post :

  • Ajustements ex ante : cela inclut les indicateurs clés de performance liés aux risques, utilisés comme input pour calculer la rémunération variable, via la fixation du pool de bonus qui tient compte de tous les risques auxquels l’établissement est et pourrait être exposé. Des critères quantitatifs et qualitatifs doivent être utilisés, incluant des métriques financières et non financières, afin de refléter une performance durable et ajustée au risque. Dans ce contexte, il est recommandé, comme bonne pratique, que les KPI couvrent les décisions de remédiation issus des constats d’audit et de supervision.
  • Ajustements ex post: les dispositions de “malus” ou de “clawback” doivent être utilisées en cas de non-conformité avec les indicateurs clés de risque. De plus, un cadre efficace de gestion des conséquences, incluant un processus disciplinaire et des sanctions, doit être mis en place pour traiter les cas de mauvaise conduite et de prise de risque inappropriée.
  • Gouvernance et déploiement : rôles et responsabilités

Implication des trois lignes de défense

Dans le cadre du dispositif global de gouvernance, les trois lignes de défense et les organes de direction doivent jouer un rôle actif dans la définition du RAF ainsi que dans sa surveillance et son déploiement à travers les lignes métier et les entités.

Le RAF doit être soutenu par un cadre de gouvernance fort, avec des rôles clairs pour toutes les parties prenantes impliquées à tous les niveaux de l’établissement (organe de direction, direction générale, fonctions de contrôle interne, lignes métier, entités juridiques, etc.). L’examen et l’évaluation indépendants du RAF doivent également être clairement décrits et affectés, en tenant compte de la structure organisationnelle et de l’indépendance à travers les trois lignes de défense.

Rôle de l’organe de direction et des comités

L’organe de direction dans sa fonction de surveillance, avec le soutien du comité des risques, doit jouer un rôle actif dans la surveillance de la mise en œuvre cohérente du RAF, dans son alignement avec la stratégie et les objectifs commerciaux et dans l’escalade des dépassements.

Lorsque l’organe de direction dans sa fonction de surveillance ou de gestion n’est pas directement impliqué dans l’approbation des métriques et limites spécifiques du RAF, il doit au moins avoir l’opportunité de challenger et de réviser les métriques et limites spécifiques, via le comité des risques ou un comité équivalent.

Rôle des fonctions de contrôle interne

Les fonctions de contrôle interne doivent aider à développer et surveiller la mise en œuvre du RAF, en vérifiant si les limites de risque imposées aux activités commerciales spécifiques ou aux risques spécifiques sont appropriées. Un examen indépendant du RAF doit être effectué régulièrement par la fonction d’audit interne pour évaluer son efficacité, généralement sur une base annuelle.

Déploiement au sein de l’établissement

Pour déployer le RAF, des déclarations d’appétence aux risques doivent être établies pour les lignes métier et les entités afin de garantir l’alignement de leur stratégie et de leurs limites de risque avec la déclaration d’appétence aux risques à l’échelle de l’établissement.

Pour faciliter la surveillance des risques aux niveaux consolidé ou sous-consolidé, il est également attendu que les établissements développent des tableaux de bord d’appétence aux risques pour les lignes métier et entités significatives, basés sur l’approche développée au niveau du groupe.